Zwei ISO-Standards für das Business Continuity Management in neuer Version erschienen

Das für Resilence und BCM verantwortliche Technical Committee ISO/TC 292 Security and resilience hat zum Jahresende zwei Business Continuity Standards im Rahmen des regulären Aktualisierungsprozesses aktualisiert.

Der ISO-Standard ISO/TS 22317 – “Guidelines for business impact analysis” beschreibt die Vorgehensweise zur Durchführung einer Business Impact Analyse. Die Version 2021 ersetzt die ältere Version von 2015 und bringt die folgenden Änderungen (englischer Originaltext des Standards) mit sich:

  • the document has been updated to align with ISO 22301:2019;
  • the document structure has been updated to improve the description of the business impact analysis (BIA) process;
  • more focus has been placed on the BIA process and less on the business continuity programme;
  • BIA and the BIA process have been clearly differentiated;
  • BIA process roles have been consolidated to BIA leader and activity owners;
  • the section “Initial BIA considerations” has been removed and the guidance redistributed;
  • the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
  • the annex on terminology has been removed;
  • the annex on BIA information collection methods has been enhanced;
  • a new annex with examples for performing a BIA has been included.

Der Standard beschreibt einen stringenten Prozess für die Durchführung von Business Impact Analysen. Im Annex sind Beispiele für Fragen zur Impact- und Ressourcenanalyse in der BIA aufgeführt. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beim zweiten aktualisierten Standard handelt es sich um den ISO/TS 22318 – “Guidelines for supply chain continuity management” ebenfalls aus dem Jahr 2015.

Die Änderungen in der aktualisierten Fassung sind (englischer Originaltext des Standards):

  • the document has been updated to reflect changes made to ISO 22301:2019;
  • the upstream and downstream relationships within the supply chain have been clarified;
  • the title has been updated;
  • “key points” have been deleted as their concepts are included in the clauses;
  • new diagrams have been inserted;
  • annexes have been inserted.

Der ISO-Standard beschreibt eine Vorgehensweise zur Analyse von Lieferketten, Strategien für das SSCM sowie das Management von Supply Chain-Unterbrechungen. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beide ISO-Standards sind bei der ISO selbst und über den Beuth-Verlag käuflich zu erwerben.

ISO Standard 22317 Business Impact Analyse ist veröffentlicht

Der ISO Standard für die Business Impact Analyse ist von der ISO am 17. September offiziell veröffentlicht worden. Die ISO 22317:2015 beschreibt die Vorgehensweise für die Durchführung einer BIA. Der Standard orientiert sich grundsätzlich an der Vorgehensweise der Good Practice Guidelines des BCI, lässt aber genügend Spielraum für individuelle Anpassungen.

ISO-Standard 22317 für die Business Impact Analyse auf der Zielgeraden

Das Technical Committee TC 292 der ISO-Organisation erarbeitet derzeit den offiziellen Standard für die Business Impact Analyse als Teil des gesamten Arbeitspakets an neuen Standards rund um den ISO 22301. Parallel entsteht auch der Standard für die Supply Chain Continuity ISO 22318. Der Standard ISO 22317 Business Impact Analysis liegt mittlerweile als verabschiedete Draft-Version (ISO Status 30-60) vor.

Der Standard besteht aus den drei Hauptteilen

  • Voraussetzungen für die Durchführung einer BIA
  • Durchführung der Business Impact Analyse
  • BIA-Aktualisierungen

sowie den Anhängen:

  • BIA als Teil des ISO 22301 BC Management Systems
  • BIA Terminologie
  • Datenerhebungsmethoden für die BIA
  • Weitere Mehrwerte des BIA Prozesses für das BCM.

Der Prozessaufbau für die BIA sieht die folgenden Schritte vor:

  1. Priorisierung der Produkte und Services durch das Top-Management
  2. Priorisierung von Prozessen
  3. Priorisierung von Aktivitäten
  4. Analyse und Konsolidierung der BIA-Ergebnisse
  5. Einholung des Einverständnisses des Top Managements für die BIA-Ergebnisse.

Das Ziel der BIA “… is to prorize the various organizational components so that product and Service delivery can be resumed in a predertermined order following a disruptive incident to the satisfaction of interested parties.”

Durchgehend wird vom zentralen Ziel der Priorisierung gesprochen. Wie diese Priorisierung en Detail erfolgt, ist im Standard nicht vorgegeben. Das Vorgehen folgt dem BIA-Konzept der BCI Good Practice Guidelines (GPG) des Business Continuity Institut (BCI) mit einer strategischen BIA mit dem Top-Management zur Festlegung der Rahmenvorgaben für die Wiederherstellung von Produkten und Services sowie der taktischen und operativen BIA zur Ermittlung der Anforderungen der Prozesse und Ressourcen. MTPD, RTO und RPO werden im Standard nur kurz referenziert, aber nicht inhaltlich ausgeführt. Wer sich in der BIA bereits am GPG orientiert, ist auch hinsichtlich des Standards gut unterwegs.

Für die Impact-Kategorien werden Beispiele an die Hand gegeben:

für die Produkt- und Service-Priorisierung durch das Top-Management:

  • Financial
  • Reputational
  • Legal and regulatory
  • contractual
  • Business objectives

für die Priorisierung der Aktivitäten ergänzend:

  • Operational (backlog of workload, Impact to interrelated aacticities)
  • Welfare (physical or mental harm to staff or visitors).

In der BIA auf Prozessebene werden

  • Abhängigkeiten zwischen Produkten, Services, Prozessen und Aktivitäten identifiziert
  • die Auswirkungen (Impact) über die Zeit ermittelt
  • Prozesse priorisiert.

In der BIA auf Aktivitätenebene werden die erforderlichen Ressourcen erhoben:

  • Mitarbeiter, Qualifikationen, Rollen
  • Gebäude
  • Einrichtungen, Ausrüstung
  • Dokumente
  • Finanzen
  • IT und Telekommunikation
  • Dienstleister, Versorger, Auslagerungen
  • Abhängigkeiten von anderen Prozesse und Aktivitäten
  • Werkzeuge, Ersatzteile
  • Einschränkungen hinsichtlich Logistik oder Regulatorik.

Auf Basis der BIA-Ergebnisse mit den Anforderungen an die Wiederherstellung erfolgt die Entwicklung der BCM-Strategien für

  • Arbeitsplätze
  • Dienstleister
  • IT
  • Mitarbeiter
  • Technische Ausrüstung und Material.

Der Standard unterscheidet zwischen der Initialen BIA und der nachfolgenden (“typischerweise jährlichen”) BIA-Aktualisierung. Für die initiale BIA wird angenommen, dass Informationen schlecht oder gar nicht verfügbar sind. In den nachfolgenden Aktualisierungen der BIA kann der Fokus dann verstärkt auf organisatorische Änderungen und Risikoakzeptanz gelegt werden.

Meine persönlichen Anmerkungen:

Beim ersten Lesen des Standards war ich positiv überrascht, dass MTPD, RTO und RPO fast gar keine Erwähnung im Standard finden. Statt mit Begrifflichkeiten zu hantieren, wird tatsächlich der Fokus auf das zu erzielende Ergebnis einer BIA gelegt: die priorisierten Prozesse und Ressourcen. Aus meiner Sicht eine positive Ausrichtung. Die Ausgestaltung der Methodik obliegt den Unternehmen und kann damit größen- und risikoorientiert adjustiert werden. Der Standard gibt den erforderlichen Rahmen hierfür vor. Nicht mehr und nicht weniger.

Das lässt uns mit positiver Spannung auf den neuen Standard für Supply Chain Continuity warten.